HUI Loader

Yıllardır saldırı kampanyalarında kullanılan bir kötü amaçlı yazılım tehdidi, şimdi Çin destekli APT (Gelişmiş Kalıcılık Tehdidi) gruplarının faaliyetlerine bağlandı. HUI Loader olarak bilinen kötü amaçlı yazılım ilk olarak 2015'te tanımlanmıştı, ancak devlet destekli birkaç hacker grubuna bağlantılar ancak yakın zamanda doğrulandı. Tehdit ve onu tehdit araç setinin bir parçası olarak kullanan tehdit aktörleriyle ilgili ayrıntılar, Secureworks Karşı Tehdit Birimi (CTU) tarafından hazırlanan bir raporda açıklandı.

HUI Yükleyici, enfeksiyonun ilk aşamalarında dağıtılır ve sonraki aşama yüklerinin teslimi ve yürütülmesi ile görevlendirilir. Tehdit, muhtemelen DLL arama emri kaçırma olarak bilinen bir tekniğe tabi tutulan meşru programlar aracılığıyla hedeflenen sistemlere iletilmiştir.' HUI Yükleyicinin bellekte kurulup çalıştırıldığında, SodaMaster, Cobalt Strike , PlugX ve QuasarRAT dahil olmak üzere çeşitli RAT (Uzaktan Erişim Truva Atları) yüklediği gözlemlendi.

CTU'daki araştırmacılar, HUI Loader'ın Japon varlıklarına yönelik saldırı kampanyalarının bir parçası olduğunu yakaladılar, ancak Avrupa ve ABD kuruluşlarının da hedef alınabileceğini varsayıyorlar. Faaliyet kümelerinden biri A41APT'ye atfedilir. Saldırganlar muhtemelen fikri mülkiyet toplamakla ilgilendiler ve SodaMaster RAT'ın teslimi için HUI Loader'a güvendiler. Siber güvenlik uzmanları tarafından gözlemlenen diğer kampanyanın BRONZE STARLIGHT tarafından yapıldığına inanılıyor. Bu durumda, bilgisayar korsanları, muhtemelen gerçek amaçlarını kurbanlardan hassas veri toplamayı gizlemenin bir yolu olarak, ihlal edilen cihazlara fidye yazılımı tehditleri de bıraktı.